Konfigurera brandväggen

Styrenheten kan ställas in på att använda en brandvägg. Brandväggen bygger på principen om betrodda värddatorer, och tillåter bara inkommande anslutningar via portar eller adresser som är godkända.

Brandväggen är inaktiverad som standard.

Brandväggen kontrollerar endast inkommande anslutningar på fabrikens Ethernet-port.

Aktivera och konfigurera brandväggen

  1. Gå till startsidan och välj Inställningar.

  2. Välj Nätverk på den vänstra panelen.

  3. Gå till högra panelen och skrolla ned till Brandvägg.

  4. Välj Redigera och sätt Brandvägg i läge . Portfiltrering (brandvägg lager 4) och alla dess fördefinierade tjänster är aktiverade som standard.

  5. Konfigurera inställningarna för olika brandväggslager genom inställning av tjänsterna till På/Av eller genom manuell inmatning av adresser.

    • Portfiltrering (brandvägg lager 4): För att öppna och specificera de tjänster som ska kunna nås genom brandväggen.

    • IP-filtrering (brandvägg lager 3): Ange en betrodd värd med IP på nätverket – en värd som har tillgång till alla tjänster.

    • MAC-filtrering (brandvägg lager 2): Att ange en betrodd värd med MAC.

    Om inget brandväggslager har aktiverats kommer alla inkommande anslutningar att släppas igenom.

Portfiltrering (brandvägg lager 4)

När Portfiltrering (brandvägg lager 4) är utför brandväggen paketfiltrering baserat på destinationsport. Paket som skickas till öppen port accepteras omedelbart. Datapaket som inte matchar bearbetas också av övriga brandväggstyper, IP-filtrering och MAC-filtrering, innan de accepteras eller nekas.

När Portfiltrering (brandvägg lager 4) är AV är portfiltreringen inaktiverad och alla andra inställningar är dolda.

Fördefinierade tjänster har egna aktiveringsomkopplare:

  • Öppna portar för webb (TCP 80, TCP 8080)

  • Öppna portar för SSH och SFTP (TCP 22)

  • Öppna portar för trådlösa verktyg (UDP 6677, TCP 6678)

  • Öppna portar för tillbehör (TCP 25000)

  • Ytterligare TCP-portar

  • Ytterligare UDP-portar

Fördefinierad tjänst

Beskrivning

Öppna portar för IxB Connect (standard 62000, konfigurerbara)

Port krävs för anslutning av IxB Connect-verktyg över fabriksnätverket till styrenheten. IxB Connect kräver en konfigurerad "basport" + 1 port/anslutet verktyg. 3 verktyg => 62000 - 62003.

Öppna portar för webb (TCP 80, TCP 8080)

Portar krävs för webbtjänster så att styrenheten är åtkomlig över fabriksnätverket.

Om alternativet Öppna portar för webb (TCP 80, TCP 8080) är Av utlöses en varning om att anslutningen till webbgränssnittet kan förloras.

Öppna portar för SSH och SFTP (TCP 22)

Port krävs för SSH och SFTP-funktioner på fabriksinställd Ethernet-port.

Öppna portar för trådlösa verktyg (UDP 6677, TCP 6678)

Portar krävs för att trådlösa verktyg ska kunna ansluta till styrenheten över fabriksnätverket.

Öppna portar för tillbehör (TCP 25000)

Portar krävs för att ansluten utrustning ska kommunicera med styrenheten över fabriksnätverket. Detta gäller för hylsväljare 6.

Öppna ytterligare TCP-portar

Kommaseparerade portar och portintervall med bindestreck (-) accepteras. Exempel: när du anger 1,2,3,4-10 kommer alla portar mellan 1 och 10 att öppnas.

Ogiltiga portinställningar utlöser en omedelbar popup-varning.

Portarna sorteras automatiskt när du klickar på Verkställ -knappen.

Öppna ytterligare UDP-portar

Om du ska använda Öppet protokoll ska du lägga till portnumren manuellt i fältet Öppna ytterligare TCP-portar. Till exempel: 4545,4546,4547 (beroende på de portar som har konfigurerats i Virtuell station > Virtuell station 1 > Protokoll > Öppet protokoll > Serverport).

Om du ska använda NTP-server måste du lägga till port 123 manuellt i fältet Öppna ytterligare UDP-portar.

Du kan lägga till flera portar med kommaseparering. Portintervall kan läggas till med ett bindestreck.

IP-filtrering (brandvägg lager 3)

Du kan specificera betrodda värddatorer eller nätverk under IP-filtrering (brandvägg lager 3) genom att ange deras IP-adresser i listrutan Godkända IP. För att komma åt inmatningsfältet sätter du omkopplaren i läge . Listor över IP-adresser eller nätverksadresser i form av IP-tabeller accepteras, dvs. IP-adresser för värddatorer eller nätverk. Nätverksmasken kan anges som masklängd (till exempel /24) eller som nätverkets IP-adress (till exempel /255.255.255.0). Paket som kommer från en godkänd IP-adress tillåts omedelbart. Andra datapaket kontrolleras av brandväggens övriga lager (Portfiltrering och MAC-filtrering).

Exempel på godkänd IP-adress

Av säkerhetsskäl går det inte att skriva in värdnamn eller nätverksnamn.

Observera att processer som NATing (Network Address Translation) kan ändra källans IP-adresser. Du måste kontakta lokal nätverksadministratör innan en värddators IP-adress vitlistas.

MAC-filtrering (brandvägg lager 2)

MAC-filtrering (brandvägg lager 2) släpper igenom betrodda värddatorer eller nätverk när deras MAC-adresser anges i listrutan Godkända MAC. För att komma åt inmatningsfältet sätter du omkopplaren i läge . Kommaseparerade listor över MAC-adresser accepteras. Paket som kommer från en godkänd MAC-adress tillåts omedelbart. Andra datapaket kontrolleras av brandväggens övriga lager (Portfiltrering och IP-filtrering).

Exempel på godkänd MAC-adress

Ogiltiga poster utlöser en omedelbar popup-varning.

Observera att en router kan ändra källans MAC-adresser. Du måste kontakta lokal nätverksadministratör innan en värddators MAC-adress vitlistas.

Paketräknare

Du kan visa brandväggsstatistik för varje brandväggslager genom att välja Inställningar > Nätverk > Brandvägg > Paketräknare.

Under Uppdatera finns följande knappar:

  • Uppdatera: uppdaterar de paketräknare som visas.

  • Återställ: återställer paketräknarna till noll.

Båda knapparna har en omkopplare som automatiskt återställs till ursprungsläget efter genomförd åtgärd.

Under Accepterade paketräknare visas räknarna för var och en av brandväggstyperna samt nekade datapaket.

  • Portfiltrering: visar paketräknaren för paket som accepteras av brandväggstypen Portfiltrering.

  • IP-filtrering: visar paketräknaren för paket som accepteras av brandväggstypen IP-filtrering.

  • MAC-filtrering: visar paketräknaren för paket som accepteras av brandväggstypen MAC-filtrering.

  • Nekade: visar paketräknaren för paket som nekades.

De paket som accepteras och räknas av reglerna för port, IP- och MAC-filtrering innefattar endast de initialpaket som upprättar en anslutning.

Alla nekade paket räknas och visas.

Brandväggsstatus

Status för den allmänna brandväggsfunktionen och brandväggens lager visas i huvudvyn Brandvägg direkt under Inställningar > Nätverk.

Status

Beskrivning

OK

Brandväggen har aktiverats och brandväggens konfiguration har verkställts.

Inaktiverad

Brandväggen har inaktiverats och brandväggens konfiguration verkställs inte.

Konfigurationsfel

Brandväggen har aktiverats men brandväggens konfiguration har inte verkställts på grund av ett internt fel.

Av säkerhetsskäl används en policy för öppning vid fel, vilket betyder att alla anslutningar släpps igenom.

När allmän brandväggsstatus är OK visas även status (Aktiverad / Inaktiverad) för respektive brandväggslager.